Il Regolamento europeo sull’intelligenza artificiale (AI Act) è ormai prossimo alla pubblicazione in Gazzetta Ufficiale. Si tratta del primo atto normativo mondiale a regolare i sistemi di intelligenza artificiale. Nei suoi dettami, la privacy svolge un ruolo di primaria importanza in rapporto con l’AI. Questo perché i sistemi di intelligenza artificiale si nutrono di dati e di informazioni che costituiscono il dataset su cui possono contare per portare a termine i compiti che gli sono demandati. Tra i vari dati, ci sono anche i dati personali, cioè quelli relativi alle persone in particolare i dati identificativi oppure biometrici, cioè dati che riguardano aspetti fisici delle persone.
Dunque, era inevitabile che l’Unione europea affrontasse il tema della privacy anche nella legge sull’intelligenza artificiale, cercando di armonizzare le nuove norme sull’AI con il Regolamento generale sulla protezione dei dati (GDPR). Tematica, per altro, al centro del disegno di legge sull’intelligenza artificiale (DDL sull’intelligenza artificiale) già approvato dal Consiglio dei Ministri italiano, su proposta del Presidente Giorgia Meloni e del Ministro della Giustizia Carlo Nordio.
Perché il tema della privacy è centrale nell’AI Act
Per quale motivo il tema della privacy risulta centrale nell’AI act e nella normativa sull’intelligenza artificiale?
Fin dal momento in cui è iniziato lo sviluppo dell’intelligenza artificiale, è sempre stato chiaro ed evidente che ci sarebbe stato un contrasto tra questa nuova tecnologia e la protezione dei dati personali.
Infatti, un aspetto particolarmente problematico nello studio dell’intelligenza artificiale è il procedimento che viene usato nella creazione dei sistemi IA: l’intelligenza artificiale elabora le risposte a partire dai dati che gli vengono forniti dal produttore; ma siamo sicuri che venga rispettata la normativa privacy nel trattamento di questi dati?
L’elemento che distingue l’AI dai cosiddetti sistemi domanda-risposta è il fatto che, mentre questi ultimi sono immediatamente pronti ad eseguire la loro funzione (l’esempio classico che viene fatto è quello della calcolatrice), l’IA nasce “stupida” e affinché sia in grado di elaborare risposte testuali o grafiche statisticamente corrette, deve essere addestrata su una grande quantità di dati e informazioni: i “training data”. Questi possono comprendere qualsiasi tipo di informazione, dalle opere scritte, alle immagini, fino ai dati personali.
Da un lato, questo rappresenta un vantaggio perché porta un continuo miglioramento nelle prestazioni dei sistemi. Però, dall’altro, siamo di fronte a una delle più sentite criticità dell’intelligenza artificiale: i training data non vengono rivelati dal proprietario dell’intelligenza artificiale e questo causa frizioni legali in una moltitudine di ambiti, dal diritto d’autore alla protezione dei dati personali.
Per tale motivo, il Regolamento europeo sull’intelligenza artificiale (AI Act) e il GDPR si devono intersecare e implementare a vicenda per garantire la protezione dei dati personali nell’uso e nello sviluppo dei sistemi di IA. Ciò è ancora più necessario quando il trattamento dei dati personali per mezzo dei sistemi di IA può avere un impatto significativo sui diritti e le libertà delle persone.
Verso l’approvazione dell’AI Act, il Regolamento europeo sull’intelligenza artificiale
Entro l’estate dovrebbe essere pubblicato in Gazzetta Ufficiale europea l’AI Act, già approvato dal Parlamento Europeo e dal Consiglio dell’Unione Europea. Il Regolamento europeo sull’intelligenza artificiale nasce per disciplinare lo sviluppo e l’utilizzo degli strumenti di intelligenza artificiale, compresi quelli che coinvolgono un trattamento dei dati personali.
Si tratta del primo regolamento al mondo scritto con lo scopo di fornire un quadro normativo sull’uso dell’intelligenza artificiale. E, probabilmente, si porrà come un pilastro anche a livello mondiale.
L’AI Act, in particolare, stabilisce le basi affinché l’intelligenza artificiale venga sviluppata e utilizzata nel rispetto dei diritti fondamentali dell’individuo. I sistemi di AI, quindi, dovranno garantire etica, trasparenza e, soprattutto, sicurezza per i diritti della società europea. Tra questi, anche il diritto alla protezione dei dati personali, ribadito dal Regolamento sull’Intelligenza artificiale che, pur non occupandosi nello specifico di privacy, rimanda espressamente al GDPR il compito di regolare il trattamento dei dati personali svolto attraverso l’uso di sistemi di AI.
Il testo dell’AI Act approvato anche dal Consiglio – e già disponibile al momento – ha un approccio basato sul rischio derivante dall’utilizzo dei dati da parte dell’intelligenza artificiale. Infatti, secondo la Commissione Europea “sebbene la maggior parte dei sistemi di IA non presenti rischi e possa contribuire a risolvere molte sfide sociali, alcuni sistemi di IA creano rischi che dobbiamo affrontare per evitare risultati indesiderati”.
La classificazione dei rischi
Nello specifico, sono individuate quattro categorie di sistemi sulla base del rischio:
- sistemi a rischio inaccettabile, pertanto vietati;
- sistemi ad alto rischio;
- sistemi a basso rischio;
- sistemi a rischio minimo.
Con questa classificazione vengono stabiliti i limiti per sviluppatori e utilizzatori e vengono definiti i modelli con un rischio troppo alto per essere autorizzati. Il Titolo II della nuova normativa vieta le “pratiche che presentano un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali, senza che tali persone ne siano consapevoli, oppure di sfruttamento delle vulnerabilità di specifici gruppi vulnerabili”, nonché le pratiche relative alla profilazione, l’attribuzione di un punteggio sociale basato sull’IA per finalità generali da parte della pubblica autorità, il ricorso a sistemi di identificazione biometrica remota “in tempo reale“, i sistemi di social scoring, il riconoscimento delle emozioni a scuola o sul posto di lavoro per valutare il pericolo che una persona commetta un reato.
Ma sono diversi i punti relativi alla privacy che vengono affrontati nell’AI Act.
Privacy: AI act e GDPR
Il legame tra privacy e GDPR viene introdotto dalla raccomandazione sull’intelligenza artificiale dell’OCSE (OECD Recommendation of the Council on Artificial Intelligence, “OECD AI Principles”) in cui vengono stabiliti i principi che rendono un sistema di IA affidabile e in linea con il GDPR (crescita inclusiva, sostenibilità e benessere, valori incentrati sulla persona, equità, trasparenza, spiegabilità, robustezza, sicurezza e responsabilità) e dai principi etici individuati dal gruppo di esperti sull’intelligenza artificiale HLEG.
Inoltre, nel considerando 27 della legge UE sull’intelligenza artificiale è stabilito: “È opportuno limitare i sistemi di IA identificati come ad alto rischio a quelli che hanno un impatto nocivo significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell’Unione, e tale limitazione riduce al minimo eventuali potenziali restrizioni al commercio internazionale”. Con il successivo considerando, poi, vengono enunciati i principi sulla sicurezza in situazioni complesse, supervisione, solidità e sicurezza tecnica, privacy e governance dei dati, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e d’informazione, la protezione dei consumatori, i diritti dei lavoratori, il diritto alla salute e alla sicurezza delle persone, il diritto fondamentale a un livello elevato di protezione dell’ambiente.
L’applicazione di questi principi, che in parte accomunano il GDPR e la legge sull’intelligenza artificiale, emerge da diversi articoli dell’AI Act, in cui vengono regolati:
- Trattamento automatizzato dei dati;
- Consenso;
- Valutazione d’impatto sui diritti fondamentali (FRIA);
- Regime di responsabilità per danno causato da intelligenza artificiale.
Infatti, sebbene l’AI Act non si occupi specificamente di privacy e trattamento dei dati personali, rimandando al GDPR, è possibile individuare alcune similitudini esaminando il suo contenuto in relazione al GDPR.
Privacy e AI: basi giuridiche e diritti dell’interessato nel trattamento dei dati con l’intelligenza artificiale
Entrando nel vivo del rapporto privacy/intelligenza artificiale, non si può prescindere dalla disamina delle basi giuridiche e dei diritti dell’interessato nel trattamento dei dati con strumenti di AI.
Uno dei punti di riferimento essenziali è certamente l’articolo 22 del GDPR che riguarda il processo decisionale automatizzato. Si tratta della tipologia di trattamento dei dati personali svolto dai sistemi di intelligenza artificiale chiamati ad assumere decisioni partendo dall’analisi di aspetti relativi alle persone. In presenza di tali trattamenti, il Considerando 10 dell’AI ACT fa salvi i diritti connessi e riconosciuti dal GDPR.
In particolare, l’art. 22 del GDPR sancisce il diritto dell’interessato a non essere soggetto ad un decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, quando ciò può produrre effetti giuridici sulla sua persona. Questo significa che, nel momento in cui il trattamento può produrre delle conseguenze non trascurabili sulla vita dell’interessato, quest’ultimo ha il diritto di richiedere l’intervento umano e ottenere che i suoi dati non vengano trattati in modo esclusivamente automatizzato.
Cosa si intende per trattamento dei dati che può produrre effetti giuridici
Ma cosa si intende per trattamento dei dati che può produrre effetti giuridici?
Per comprendere il concetto, proviamo a fare degli esempi: il trattamento automatizzato effettuato da un chatbot che propone all’utente determinati prodotti piuttosto che altri, basandosi sulle preferenze da questo espresse, non è un trattamento capace di produrre effetti giuridici sulla vita dell’interessato. Al contrario, un trattamento che senz’altro incide sulla vita dell’interessato è quello che, analizzando il profilo creditizio di un soggetto richiedente un prestito, decide se questo merita o meno di avere accesso ad una linea di credito.
Considerato l’impatto di questo tipo di trattamento, il GDPR riconosce all’interessato il diritto di ottenere una revisione del giudizio assunto dal sistema di IA, mediante un intervento umano. Nello specifico, l’interessato può contestare la decisione algoritmica chiedendo l’intervento del titolare del trattamento, chiamato a verificare in maniera critica la correttezza della decisione assunta dal sistema.
Inoltre, secondo quanto stabilito dal Considerando 71 del GDPR, il titolare del trattamento deve attuare quelle misure necessarie ad attenuare i rischi per l’interessato e a garantire i suoi diritti, compreso quello di ricevere informazioni che gli permettano di comprendere la logica del trattamento e le conseguenze che derivano dalla profilazione (Considerando 61), ovvero a comprendere il procedimento svolto dal sistema.
Consenso e IA: cosa prevede il GDPR e quali sono le criticità del consenso come base giuridica
Come abbiamo avuto modo di approfondire, l’art. 22 del GDPR sancisce essenzialmente un divieto di decisioni basate unicamente sul trattamento automatizzato. Tuttavia, il secondo comma dello stesso art. 22 stabilisce dei limiti a questo divieto, definendo i casi in cui, al contrario, ciò può avvenire.
Sono i casi in cui la decisione è necessaria alla conclusione di un contratto tra il titolare e l’interessato; oppure il caso in cui sia la stessa legge, europea o nazionale, a prevedere e autorizzare tale decisione; infine, la decisione può basarsi unicamente sul trattamento automatizzato, quando c’è il consenso esplicito dell’interessato.
In merito al «consenso dell’interessato» si pongono non pochi dubbi circa la sua valida raccolta, se si considera la natura e il funzionamento di questi elementi: consenso e intelligenza artificiale. In particolare, il consenso, secondo la definizione e i caratteri attribuitigli da GDPR, è qualsiasi manifestazione di volontà esplicita, attiva, basata su una completa informazione circa le finalità, le modalità, i tempi di trattamento. Ed è proprio qui che emerge una delle criticità relative al rapporto consenso/sistemi di intelligenza artificiale: come è possibile applicare la disciplina del consenso ai sistemi di intelligenza artificiale nella fase di “l’istruzione” dell’IA? E come può dirsi raccolto il consenso nei casi di web scraping in cui sostanzialmente c’è una pesca a strascico di informazioni sul web, compresi i dati personali. Sul tema web scraping e dati personali è interessante leggere l’ultimo provvedimento del Garante Privacy.
Proprio durante il training, infatti, vengono sfruttati dati di diversi tipi, compresi i dati personali. E quasi mai nella fase di training viene garantito un livello di conoscibilità delle modalità di trattamento, capace di soddisfare il requisito del consenso pienamente informato e, di conseguenza, di garantire la validità del consenso stesso.
Al contrario, la normativa privacy chiede anche al soggetto che utilizza l’intelligenza artificiale nel trattamento automatizzato un consenso granulare. Ciò significa che deve essere garantita all’utente la possibilità di scegliere per quali finalità intende dare il consenso. Quindi, ad esempio, potrà accettare di ricevere pubblicità ma rifiutare che i suoi dati vengano usati per addestrare l’intelligenza artificiale.
Caso studio privacy e AI: come ha raccolto i dati personali Zoom per sviluppare il suo sistema di IA?
Un caso che fa riflettere su quali basi giuridiche le compagnie sviluppano i sistemi di intelligenza artificiale sfruttando i dati personali ci è offerto da Zoom.
A marzo 2023, Zoom ha modificato i suoi Termini e Condizioni stabilendo che deteneva il completo controllo sui dati ottenuti dai clienti inclusi i diritti di modifica, distribuzione, elaborazione, condivisione, gestione e archiviazione. Ha anche inserito una nuova clausola in cui si affermava che i dati raccolti dalla piattaforma sarebbero stati utilizzati per sviluppare un sistema di intelligenza artificiale.
Questo ha causato reazioni negative non solo in Europa, dove le nuove clausole erano chiaramente contrarie al GDPR, ma anche negli Stati Uniti, dove i professionisti medici hanno sottolineato che l’uso di Zoom (che fornisce un servizio di videoconferenze) all’interno degli ospedali poteva contrastare con l’HIPAA (Health Insurance Portability and Accountability Act), la legge che gestisce la protezione dei dati sanitari negli Stati uniti.
A quel punto, Zoom ha modificato i Termini e Condizioni eliminando le clausole precedentemente aggiunte. Inoltre ha aggiunto una frase alla clausola 10.2: “Zoom non utilizza audio, video, chat, condivisione dello schermo, allegati dell’Utente o altro Contenuto del cliente simile a conversazioni (quali risultati dei sondaggi, whiteboard e reazioni) per addestrare i modelli di intelligenza artificiale di Zoom o di terze parti”.
Questo chiaramente non significa che i dati personali non possano essere usati per l’addestramento delle intelligenze artificiali, ma che bisogna rispettare le già menzionate previsioni sul consenso.
Quindi, per garantire che il consenso sia pienamente informato, all’interessato dovrà essere comunicato se viene utilizzata l’intelligenza artificiale e per quali scopi. Inoltre, per ogni finalità, dovrà essere previsto un consenso specifico.
Come però precedentemente menzionato, molto spesso le logiche del funzionamento dell’IA sono sconosciute e diventa difficile che il consenso possa definirsi davvero informato.
Valutazione d’Impatto sui Diritti Fondamentali (FRIA) e Valutazione di Impatto della Protezione dei dati (DPIA)
Altro punto di raccordo tra GDPR e AI Act può riguardare la Valutazione d’Impatto sui Diritti Fondamentali (FRIA) richiesta dall’AI ACT per i sistemi ad alto rischio e la Valutazione di Impatto della Protezione dei dati (DPIA) richiesta dal GDPR.
La DPIA è prevista dal GDPR all’art. 35 che impone al titolare di effettuare una valutazione sulla necessità e sulla proporzionalità del trattamento dei dati personali e dei rischi che da questo possono derivare. La DPIA è obbligatoria quando il trattamento dei dati può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tra questi casi, secondo l’ex Gruppo Art. 29, rientrano i trattamenti valutativi o di scoring, compresa la profilazione, così come le decisioni automatizzate che producono effetti giuridici.
Allo stesso modo, il Regolamento sull’intelligenza artificiale prevede che prima che un sistema ad alto rischio possa essere messo in commercio è necessario che il produttore esegua autonomamente una Valutazione d’Impatto sui Diritti Fondamentali (FRIA). La FRIA ha lo scopo di garantire che i sistemi di IA siano conformi ai requisiti di trasparenza, sicurezza e affidabilità, assicurando che non violino i diritti fondamentali degli individui.
Entrambe le valutazioni sono considerate necessarie quando le attività di trattamento o i sistemi di intelligenza artificiale sono ad “alto rischio”, cioè possono avere impatti significativi sui diritti e le libertà. Tuttavia, mentre la DPIA si concentra principalmente sui rischi legati al trattamento dei dati personali, la FRIA estende il suo campo di applicazione a una gamma più ampia di diritti fondamentali, tra cui la non discriminazione, la protezione dalla sorveglianza eccessiva, e il diritto alla trasparenza e all’equità.
Un altro aspetto da sottolineare è che diversi strumenti di intelligenza artificiale inevitabilmente tratteranno quelli che la legislazione privacy considera dati particolari (o sensibili). Ad esempio, la possibilità che l’IA venga utilizzata in ambito sanitario rende inevitabile la raccolta di dati relativi alla salute. Per tale motivo, questi sistemi di intelligenza artificiale verranno categorizzati come sistemi ad alto rischio proprio per la tipologia di dati che vengono trattati.
Regime di responsabilità per danno causato da intelligenza artificiale
La questione privacy nell’AI Act emerge anche in relazione alla responsabilità in caso di danno provocato dai sistemi di intelligenza artificiale. L’art. 82 del GDPR prevede che chiunque subisca un danno materiale o immateriale cagionato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Nello specifico, il Regolamento stabilisce che il titolare deve risarcire i danni dovuti ad un trattamento non conforme alle prescrizioni del GDPR. Sul punto la Corte di Cassazione con la pronuncia n. 167402/2021 ha chiarito che il danno non sussiste in re ipsa e che non tutte le violazioni delle prescrizioni privacy determinano una lesione e quindi la risarcibilità del danno, ma solo quelle che determinano un danno grave e dimostrabile. A questo punto si pongono due questioni importanti: come si prova il danno subito? E su chi ricade la responsabilità civile nel caso di danno causata da IA?
Secondo la normativa nazionale, per ottenere il risarcimento e attribuire la responsabilità civile, l’onere della prova ricade sul danneggiato. Ossia, come ribadito dalla sentenza n. 1931 del 25 gennaio 2017 della Corte di Cassazione, è l’interessato a dover dimostrare di aver subito un danno e che questo sia attribuibile alla responsabilità del sistema di IA.
Nel caso dell’IA, chiaramente, questo risulta estremamente più complesso per le modalità di funzionamento dei sistemi, che spesso sfuggono. In generale, infatti, i creatori tendono a mantenere il segreto sul metodo di funzionamento e a non rivelare l’algoritmo sul quale si basa il funzionamento del sistema. Il danneggiato, quindi difficilmente può riuscire a soddisfare l’onere della prova.
Di conseguenza, le normative nazionali per la gestione della responsabilità non risultano adatte alla gestione del danno da intelligenza artificiale. Il punto in comune, infatti, è che, secondo il nesso di causalità, il soggetto i cui diritti sono stati lesi deve provare il danno e come questo può essere attribuito al comportamento della controparte AI che lo abbia causato.
Violazione privacy e IA: cosa dice l’UE sulla responsabilità per danno causato da intelligenza artificiale
L’Unione Europea è intervenuta sull’argomento proponendo due direttive sulla responsabilità per danno causato da intelligenza artificiale: la Proposta di direttiva sulla responsabilità per danno da prodotti difettosi (Product Liability Directive, PLD) e la Proposta di direttiva sull’adeguamento delle norme sulla responsabilità civile extracontrattuale all’intelligenza artificiale ( AI Liability Directive, AILD).
La prima ha un contenuto più tecnico e riguarda la progettazione dei sistemi di intelligenza artificiale. In particolare, permette di richiedere informazioni su ogni tipo di sistemi di intelligenza artificiale, a qualsiasi livello di rischio. La seconda, invece, tratta nello specifico della responsabilità extracontrattuale e permette di accedere alle informazioni sui sistemi ad alto rischio.
L’importanza di queste proposte riguarda l’onere della prova: nel caso in cui il prodotto violi gli obblighi relativi alla fornitura di informazioni o non rispetti gli obblighi di sicurezza il danneggiato non è obbligato a provare la difettosità del prodotto. Inoltre, si presume che difetto e danno siano connessi quando i sistemi risultano troppo complessi a livello tecnico o scientifico per provare la causalità del danno. Le direttive sopra menzionate possono essere particolarmente utili se applicate alla violazione della privacy se si considera l’orientamento della giurisprudenza della Cassazione sull’argomento.
La Corte di Cassazione ha recentemente ribadito un orientamento già fissato da una precedente sentenza, secondo cui affinché un danno da violazione della privacy possa essere risarcibile è necessario che venga provato adeguatamente il danno e ne venga dimostrata la gravità.
Il contenuto delle direttive potrà intervenire a favore del danneggiato perchè queste prevedono una presunzione di causalità. Il soggetto danneggiato quindi non dovrà provare esattamente come è stato causato il danno ma semplicemente dovrà dimostrare che c’è stato un comportamento colposo della controparte e che esiste un nesso di causalità tra quest’ultimo e la lesione dei diritti del soggetto.
Il giudice potrà quindi presumere che è stato il sistema di intelligenza artificiale a causare il danno e potrà ordinare che ne venga divulgato il funzionamento nel rispetto del segreto industriale. Questo può supportare il danneggiato nell’identificazione del soggetto responsabile.
Nel caso in cui le aziende terze non abbiano rispettato le indicazioni del GDPR o del Responsabile privacy, saranno considerate responsabili del danno.
Il disegno di legge sull’intelligenza artificiale DDL
Il 23 aprile 2024 il Consiglio dei Ministri italiano ha approvato un disegno di legge di 26 articoli recante disposizioni sulla materia dell’intelligenza artificiale.
L’obiettivo che il legislatore si è prefissato con questo disegno di legge è quello di individuare i principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale e di promuovere un utilizzo corretto, trasparente e responsabile dell’intelligenza artificiale. Nel DDL, il legislatore non solo individua i principi su cui si deve basare l’applicazione della tecnologia dell’intelligenza artificiale in generale, ma stabilisce anche alcune regole specifiche per determinati ambiti.
Ad esempio, è stato oggetto di regolamentazione l’uso della tecnologia dell’intelligenza artificiale in ambito medico, in cui sono stati fissati degli obblighi di informazione in favore del paziente sull’utilizzo di intelligenza artificiale.
Inoltre, è stato ribadito il principio fissato dall’art. 22 del GDPR secondo cui l’individuo ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresi i trattamenti svolti dai sistemi di intelligenza artificiale. Di conseguenza, l’utilizzo di intelligenza artificiale in ambito medico non può sostituire del tutto la decisione del professionista.
Un altro aspetto molto interessante del disegno di legge sull’intelligenza artificiale riguarda la regolamentazione del trattamento dei dati personali.
Privacy e DDL sull’intelligenza artificiale
Come già detto, le intelligenze artificiali necessitano di grandi quantità di informazioni per il loro funzionamento, compresi i dati personali. Non è un caso che molti sistemi siano già in grado di riprodurre esattamente le sembianze e i particolari di un volto umano. Per questo motivo è inevitabile che ogni intervento legislativo che si occupi della regolamentazione dell’IA debba confrontarsi con la disciplina della tutela della privacy.
L’art. 3 del DDL stabilisce quali sono i principi generali che devono essere rispettati nell’utilizzo di intelligenza artificiale, riferendosi sia a quelli stabiliti dalla Costituzione italiana sia a quelli previsti dall’Unione Europea. Vengono inoltre indicati in maniera specifica i principi di trasparenza, proporzionalità, sicurezza, riservatezza, accuratezza, non discriminazione, parità dei sessi, sostenibilità e protezione dei dati personali. Quest’ultimo aspetto viene poi ulteriormente approfondito dal successivo art. 4 che, al comma 2, stabilisce che “l’utilizzo di sistemi di intelligenza artificiale garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità col diritto dell’Unione europea in materia di dati personali e di tutela della riservatezza”.
Nella pratica, quindi, il disegno di legge non fornisce indicazioni specifiche su come debba essere gestito il trattamento dei dati personali, limitandosi a rimandare alla legislazione corrente (nello specifico, il già citato GDPR). Un aspetto che però viene stabilito al comma 4 dell’art. 4 riguarda l’uso dell’IA da parte dei minori. L’articolo in questione stabilisce, infatti, che è necessario il consenso di chi detiene la responsabilità genitoriale per l’uso di strumenti di intelligenza artificiale da parte dei minori di 14 anni. Anche in questo caso viene semplicemente richiamato un principio generale fissato dalla legislazione europea nel Regolamento 679/2016 che ha posto a 14 anni la soglia minima per aprire un profilo su un social network e accettare le informative privacy.
Argomento già affrontato dalla Cassazione italiana in diverse sentenze, ipotizzando la previsione della categoria dei “grandi minori”. Con questo termine si indicano soggetti che non hanno ancora raggiunto la maggiore età ma hanno una maggiore attitudine a orientare le proprie scelte di vita, includendo quindi la possibilità di decidere della diffusione dei propri dati personali.
Conclusioni
Ad una lettura approfondita, il contenuto del disegno di legge italiano risulta eccessivamente generico. Questo approccio può essere attribuito al fatto che il legislatore italiano è consapevole che presto verrà approvato il regolamento europeo sull’intelligenza artificiale e quindi si sono voluti evitare potenziali contrasti.
Non ci sono dubbi, infatti, che questo intervento legislativo sia stato, almeno in parte, influenzato dalla ormai prossima promulgazione dell’IA Act e dal testo a disposizione già da diversi mesi.
Il principale problema dell’intelligenza artificiale è la sua mancanza di trasparenza, in relazione all’uso indiscriminato e incontrollato dei dati personali. In entrambi i casi – DDL sull’intelligenza artificiale e AI Act – il legislatore ha cercato di armonizzare le nuove norme con il Regolamento generale sulla protezione dei dati, rispettando in particolare quelli che sono i principi relativi al consenso e al trattamento automatizzato dei dati.
A questo punto non resta che attendere la pubblicazione dell’AI Act e capire come i vari Stati membri attueranno il nuovo regolamento europeo sull’intelligenza artificiale.
Note
- Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto – 15 maggio 2013 [2543820]
- Sentenza 2270/2019
- Cass. Civ. 4303/2023
- https://explore.zoom.us/it/terms/
- Ordinanza 16402/2021
- Cass. n. 222/2016